Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » IkonBoard и другие форумы » Ikonboard v.2 » Подстановка чужого ника и пароля (кеширование)

Модерирует : Antuan

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
На форуме зарегистрировался новый пользователь и ответил в одну из тем. Я зашел в эту тему (с сохраненным паролем администратора) и вместо моего логина/пароля в форме ответа были указаны данные этого нового юзера (его сообщение было также последним в теме).
 
Могло ли это произойти из-за глюков хостинга (hoha.ru) или это какие-то глюки форума (качал его не с этого сайта и ставил несколько хаков)? Ни у кого не возникали подобные проблемы?
 
Добавлено
Похоже понял в чем дело: на hoha.ru поставили прокси-сервер. Он выдает старые страницы с паролями других пользователей. Как поправить это безобразие?
 
 
 
 


 
Если ваш форум отдает чужие ники и пароли из-за кеширования, решение

 
 
В файлах:
 
 
adminhelp.cgi  
announcements.cgi  
checkboard.cgi  
forumannounce.cgi  
forums.cgi  
help.cgi  
ib.cgi  
ikon.lib #обязательно  
ikonfriend.cgi  
loginout.cgi #обязательно!!  
memberlist.cgi  
messenger.cgi #обязательно  
misc.cgi  
newposts.cgi  
post.cgi  
postings.cgi  
printpage.cgi  
privacy.cgi  
profile.cgi  
register.cgi  #обязательно  
search.cgi  
topic.cgi  
viewip.cgi  
viewpolllog.cgi  
whosonline.cgi  
 
Админчасть:  
 
admincenter.cgi  
checklog.cgi  
setbadwords.cgi  
setforums.cgi  
setmembers.cgi  
setmembertitles.cgi  
setpolls.cgi  
setstyles.cgi  
settemplate.cgi  
setvariables.cgi  
 
 
 
Найти код:
 
 

Код:
 
 print header
 

 
Это может быть, например:
 

Код:
 
  print header(-cookie  =>[$cookie, $tempcookie]);

 
Заменить на такой:
 
 

Код:
 
 
    print header(
    -cookie  =>[$cookie, $tempcookie],  #Если было
    -TYPE=>'text/html; charset=windows-1251',  #Если надо кодировка вин
    -expires=>'Mon, 26 Jul 1997 05:00:00 GMT',  #любая старая дата, прошлого года, например
    -Pragma=>'no-cache',
    -Cache_Control=>'no-cache, must-revalidate, no-store'

    );
 

 
 

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 21:30 21-08-2002 | Исправлено: lynx, 03:02 21-08-2004
Ausw



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
это может быть если вы оба заходили из под одного прокси

----------
Be High.

Всего записей: 7371 | Зарегистр. 12-07-2001 | Отправлено: 22:55 21-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Еще немного покопавшись в Интернете, решил проблему сам Возможно кому-то эта информация будет полезна: нужно добавить строку
<meta http-equiv="Cache-Control" content="private">
в template.dat. Этим вы запретите кэширование прокси-серверам, но оставите возможным для браузеров.
 
А теперь серьезный вопрос, ответ на который я сам точно не найду. Почему эта строка не добавлена в форум по-умолчанию? Без нее могут возникнуть серьезные проблемы с безопасностью.

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 22:56 21-08-2002
Ausw



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
упс ты опередил с добавлением. гы
я щя зашел на твой форум  и словил твой ник и пасс.

----------
Be High.

Всего записей: 7371 | Зарегистр. 12-07-2001 | Отправлено: 23:04 21-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я его уже успел поменять Интересно, сколько на прокси будут храниться старые страницы с паролями... Подставила hoha.ru всех владельцев ikonboard Хотя сами виноваты - надо было в форуме сразу кэширование запрещать. Ведь с любым прокси так можно обламаться.

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 23:37 21-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Все-равно странно работает вход/выход с форума. Поменял тэг на
 <meta http-equiv="Cache-Control" content="no-cache">
чтобы еще и браузер не кэшировал, а все-равно после нажатия на "Выход" и последующего возвращения на форум показывается мой ник. Причем новый тег со значением "no-cache" загружается (смотрел HTML код загруженных страниц). Проверял на Mozilla 1.0 и IE 5.5. В чем грабли?

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 08:11 22-08-2002 | Исправлено: VF, 09:12 24-08-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF
 

Цитата:
В чем грабли?

 
Грабли в том, что юзеры юзают кешрующие прокси. Лекарство - прагма ноу кеш. Подробнее не скажу, ибо сама лично не сталкивалась, но знаю тех, у кого были подобного рода пробемы.

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:59 22-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lynx

Цитата:
Грабли в том, что юзеры юзают кешрующие прокси

Разве прокси не должны воспринимать тэг <meta http-equiv="Cache-Control" content="no-cache"> ?
 
Я вот думаю, может еще попробывать
print header("Cache-Control: no-cache");
Все просто только с ikonboard.cgi, для других файлов не понятно, куда добавлять эту строку. Спецы, помогите, pls.

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 20:33 22-08-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF

Цитата:
Разве прокси не должны воспринимать тэг <meta http-equiv="Cache-Control" content="no-cache"> ?  

 
Прокси они такие мужики, они никому ничего не должны. А уж теги точно не должны  
 

Цитата:
может еще попробывать  
print header("Cache-Control: no-cache");  
Все просто только с ikonboard.cgi, для других файлов не понятно, куда добавлять эту строку.  

 
Ну добавь везде. де есть принт хеадер, то есть :
 
Не считая админчасти:
 
Seraching for 'print header'
announcements.cgi
checkboard.cgi
forumannounce.cgi
forumoptions.cgi
forums.cgi
help.cgi
ikon.lib
ikonfriend.cgi
loginout.cgi
mail.cgi
memberlist.cgi
messenger.cgi
misc.cgi
newposts.cgi
newposts.cgi
post.cgi
postings.cgi
printpage.cgi
privacy.cgi
profile.cgi
register.cgi
search.cgi
topic.cgi
viewip.cgi
viewpolllog.cgi
whosonline.cgi
 
У тебя должно быть меньше файлов
 
Добавлено
p.s. И скажи, что получилось...

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 21:23 22-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добавлять после всех найденых print header ?

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 21:38 22-08-2002
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF

Цитата:
Добавлять после всех найденых print header ?

имхо лучше не после, а вместо
 

Код:
 
print header(-TYPE=>'text/html; charset=windows-1251',
     -expires=>'Mon, 26 Jul 1997 05:00:00 GMT',
#     -Last_Modified=>'',
     -Cache_Control=>'no-cache, must-revalidate',
     -Pragma=>'nocache'
     );
 

 
в ту строчку что закоментирована можно запихивать текущее время. в формате = 'Mon, 26 Jul 1997 05:00:00 GMT'


----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 00:25 23-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Проблема в том, что строка
print header('text/html; charset=windows-1251');
выводится в большинстве скриптов форума только при ошибке. Только в ikonboard.cgi она находиться перед функций &output. В результате замена действует только в ikonboard.cgi В других файлах заменять нечего
 
Как в них работает &output если не задан тип выдаваемой информации (text/html) ?

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 06:47 23-08-2002 | Исправлено: VF, 06:49 23-08-2002
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF
попробуй в topic.cgi and forums.cgi тоже поставить перед &output
 
К сожалению нет времени разбираться. Чем мог тем помог.

----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 16:21 23-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Т.к. с кодом форума было много неопределенностей, решил изучить настройки Squid. По-умолчанию кэширование скриптов отключено, за что отвечает строка
hierarchy_stoplist cgi-bin ?
(она запрещает кэшировать все URL, в которых встречаются символы cgi-bin и знак вопроса). Поэтому в большинстве случаев Ikonboard работает нормально.
 
На hoha.ru экономили процессорное время, поэтому все скрипты кэшировали. После переговоров с админами они согласились не кэшировать Ikonboard. Теперь мой форум вроде правильно работает.
 
Тему рано считать закрытой. Использование header может решить проблему с "неправильными" прокси. Тег meta тут не поможет, т.к. он не воспринимается прокси и должен преобразовываться в header web-сервером. Но по словам админа hoha.ru у Apache и IIS это преобразование не работает.

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 18:41 23-08-2002
Alexander Ipp



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF
Тогда ещё нужно посмотреть строку print "Content-type блабла";
Можно сменить на print header(), в общем-то.

Всего записей: 1943 | Зарегистр. 20-08-2001 | Отправлено: 20:09 24-08-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VF
 

Цитата:
Тег meta тут не поможет, т.к. он не воспринимается прокси

 
 
Ссылку на доку, плиииззз! Очень надо!
 

Цитата:
Тему рано считать закрытой.  

 
Да. Мы все сидим и думаем.
 
 
Добавлено
VF
 

Цитата:
hierarchy_stoplist  

 
Установка конфига сквида, при котором, все слова, что перечислены за этой оптицией и встречаются в урле - не кешируются. Точнее не кешируются такие страницы. В которых встречаются эти слова.
По дефолту во всех сквидах /cgi-bin/ не кешируются....
Но на деле это не так...

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 04:12 25-08-2002
new_yorik



Lame®
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
о как я сюда попал. на сколько я понял на хохе поставили такую же проксю как и на хат ру, так вот кеширующей проксе глубоко по барабану все ваши теги, кешить она все равно будет (естественно с их настройками которые кешат динамические страницы). если нажать кнопочку обновить в нетшкафе то прокся обновится, в других браузерах фик. вроде так.

Всего записей: 2623 | Зарегистр. 31-12-2001 | Отправлено: 05:28 25-08-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
new_yorik
 

Цитата:
о как я сюда попал

 
О! Тебя то нам и нужно! Зови иди Лова еще.  
 

Цитата:
кеширующей проксе глубоко по барабану все ваши теги, кешить она все равно будет  

 
Значит так. Доку давай сюда.  
Дальше. Как тогда Апачем это дело обрубить? В смысле  кеширование. В смысле скриптов. В смысле проксями.
 
Какие еще мысли? Думайте, господа программеры и админы с ними!
 

Цитата:
если нажать кнопочку обновить в нетшкафе  

 
Это неприемлимо и вообще речь не о том, как клиенту обновить пагу, а то том, как клиенту доставлять всегда обновленную пагу.
 

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 05:55 25-08-2002
VF

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lynx

Цитата:
Ссылку на доку, плиииззз! Очень надо!

http://www.squid-cache.org/Doc/FAQ/FAQ-12.html#ss12.23
Перечислены все случаи, при которых Squid не кэширует объекты.

Всего записей: 52 | Зарегистр. 08-05-2002 | Отправлено: 07:19 25-08-2002 | Исправлено: VF, 07:20 25-08-2002
MiXaiL



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну нихрена себе...Ну и как?Проблему то решили?
А то у меня пров-у него есть внутренний прокси сервер,айпи которого скрывает твой реальный айпишник в любом случае,типа плотить им бабки за негородской обломно...из-за этого все те кто конектятся к инету с этого прова имеют один и тот же айпи по Http и Ftp...Прочитал тему,чуть из кресла не вывалился...неужели ктото еще мог из под моего ника заходить....ужасссс

Всего записей: 73 | Зарегистр. 03-02-2002 | Отправлено: 17:30 23-09-2002
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » IkonBoard и другие форумы » Ikonboard v.2 » Подстановка чужого ника и пароля (кеширование)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru